door Mo Ballari - 19 april 2022
Cybercriminelen zijn continu op zoek naar nieuwe manieren om de beveiliging van organisaties te omzeilen. Er is al langere tijd een trend gaande waarin steeds minder op de digitale infrastructuur van organisaties wordt gehackt, maar steeds meer via de medewerkers van die organisaties. Daarbij zetten cybercriminelen verschillende vormen van social engineering in om medewerkers te misleiden en toegang te krijgen tot bedrijfsgevoelige informatie.
De psychologie achter deze mensgerichte cyberaanvallen wordt steeds beter. Zo worden medewerkers niet alleen verleid om een bestand te openen of op een link te klikken. Zij ontvangen steeds vaker berichten met een dwingend karakter of verzoeken waarin wordt ingespeeld op hun vertrouwen en hulpvaardigheid. Ook hebben we al gezien dat cybercriminelen fysiek een locatie binnenwandelen en van binnenuit de systemen proberen te benaderen.
Awareness: posters e-learnings en escape rooms
Op het moment dat zich een cyberincident heeft voorgedaan waarbij een medewerker is betrokken, wordt er vanuit het management vaak gehamerd op awareness. Dan worden er posters opgehangen in de lift en bij het koffiezetapparaat. Of worden er awareness trainingen en e-learnings georganiseerd; soms wordt er zelfs een escape room-achtige game gespeeld. Allemaal vanuit het idee om kennis en bewustwording te vergroten, in de hoop dat zich geen incident meer zal voordoen.
Toch leidt meer awareness in de praktijk vaak niet tot cyberveilig gedrag. Dan scoren alle medewerkers een 10 op de ‘awareness test’, maar toch komen onze pentesters nog steeds vrij eenvoudig binnen. Hoe kan dat?
Waarom awareness niet genoeg is
Bij veel organisaties zien we dat er geënt wordt op een einddoel ‘bewustwording’. Wij stellen dat het einddoel ‘gedrag’ moet zijn. Want in veel organisaties is bewustwording niet het probleem, maar gedrag.
Een simpel voorbeeld: de meeste medewerkers zijn zich er echt wel van bewust dat zij unieke, ingewikkelde wachtwoorden moeten gebruiken en die wachtwoorden regelmatig moeten wijzigen. Toch gebeurt dit nog veel te weinig. Ze gebruiken generieke wachtwoorden, dezelfde wachtwoorden voor verschillende applicaties en wijzigen het liefst zo min mogelijk. Naar de redenen hiervoor kunnen we raden: gedoe bij het inloggen, moeilijk te onthouden, etc.
Laat de risico’s zien en ervaren
Een andere reden voor de afwezigheid van veilig gedrag is de neiging van medewerkers om het risico van een incident te laag in te schatten. Dit kan gaan over de kans (“Hier kan echt niemand binnen komen.”), maar ook over de impact (“Dan is hier iemand binnen en dan?”).
Wanneer het risico wordt onderschat, is een medewerker automatisch minder gemotiveerd om zich veilig te gedragen. Een veel geadviseerde maatregel om de kans-inschatting realistischer te maken, is door simpelweg te laten zien hoe eenvoudig sommige handelingen zijn. Dit kan bijvoorbeeld door social engineering in te zetten via een deskundige organisatie. Laat hen een inlooptest doen om te laten zien hoe eenvoudig het vaak is om in iemands kantoor te komen zonder te worden aangesproken. Of laat een nep-phishingmail versturen en deel de resultaten hoeveel medewerkers toch nog op een besmette link klikken.
Als een medewerker niet de kans, maar juist de impact onderschat, zijn weer andere interventies van toepassing. Denk bijvoorbeeld aan een crisisoefening waarin medewerkers de consequenties van een bepaald incident gaan uitwerken. In plaats van medewerkers te overtuigen van de ernst en de gevolgen van een incident, bedenken zij in een dergelijke oefening die gevolgen zelf, wat hun motivatie zal verhogen.
Geef uw medewerkers handvatten
Zoals eerder benoemd wordt er vaak misbruik gemaakt van de behulpzaamheid van de mens. Zij vinden het vaak moeilijk om bepaalde zaken te weigeren aan een ander om niet onbeleefd of onvriendelijke te zijn. Denk aan het sluiten van de deur voor iemands neus, het aanspreken van een onbekende of het niet verstrekken van gevraagde informatie. Dat is aan de ene kant het mooie van de mens, aan de andere kant maakt dat het ook heel kwetsbaar. De interventie om dit veilige gedrag te stimuleren, zou dus moeten aangrijpen op die reden.
Een duidelijk voorbeeld hiervan is dat medewerkers handvatten krijgen om wel het gewenste veilige gedrag te vertonen, zonder dat ze zich onvriendelijk voelen. U kunt bijvoorbeeld bruut de deur voor iemands neus sluiten, maar u kunt ook tegen die persoon zeggen dat het de bedoeling is dat iedereen de deur opent met zijn eigen pas voor de aanwezigheidsregistratie. En dat u begrijpt dat dit wellicht niet helder was en vervolgens aanbiedt om even met die persoon naar de receptie te lopen. Een groot deel van de veilige gedragingen kan een medewerker zelfs omzetten in gastvrijheid. Als u uw medewerkers leert hoe dit moet, is deze stap naar cyberveilig gedrag opeens ook een visitekaartje voor uw organisatie. Het aanspreken van een onbekende klinkt immers helemaal niet meer onvriendelijk als u vraagt naar wie diegene op zoek is en of u hem kunt helpen.
En zo zijn er vele interventies te bedenken die passen binnen uw organisatie en gericht zijn op uw medewerkers. Neem de stap die verder gaat dan awareness en u zult merken dat uw medewerkers gemotiveerd zijn om zich cyberveilig te gedragen.